Dipl.-Volksw. Fritz Schmidt
Als Teil der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO ist ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis betrifft alle automatisierten und auch die nicht automatisierten Verarbeitungen personenbezogener Daten. Zunächst sind deshalb alle Verarbeitungsprozesse personenbezogener Daten im Unternehmen zu ermitteln. Um die Übersichtlichkeit zu wahren, empfiehlt es sich, für jedes Verfahren eine eigene Übersicht anzufertigen.
Nach Art. 30 Abs. 5 DSGVO haben Unternehmen mit weniger als 250 Mitarbeitern kein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dies gilt aber nicht, wenn
- Verarbeitungen personenbezogener Daten erfolgen, die besondere Datenkategorien gemäß Art. 9 Abs. 1 DSGVO (dazu gehören z. B. Daten zur Religion) betreffen, oder
- die Verarbeitung personenbezogener Daten nicht nur gelegentlich erfolgt oder
- die Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
Die Ausnahmen von der Verpflichtung laufen wohl regelmäßig ins Leere. Die Verarbeitung von personenbezogenen Daten erfolgt bei nahezu allen Unternehmen nicht nur gelegentlich. Dazu kommt, dass in Deutschland alle Unternehmen, die Arbeitnehmer beschäftigen, wegen des Kirchensteuerabzugs Religionsdaten zu verarbeiten haben. Genossenschaften und Unternehmen, die Gewinnausschüttungen an natürliche Personen vornehmen, haben bei den Gewinnausschüttungen ebenfalls Religionsdaten zu verarbeiten.
Die wesentlichen Verarbeitungen personenbezogener Daten in Wohnungsunternehmen betreffen die folgenden Bereiche:
- Interessentenmanagement Wohnungsvermietung
- Wohnungsbewirtschaftung
- Heiz- und Betriebskostenabrechnung
- soziales Management
- Mahnwesen
- Videoüberwachung
- Mitgliederwesen bei Genossenschaften
- Personalverwaltung
- Arbeitszeiterfassung
- Sparverkehr bei Wohnungsgenossenschaft mit Spareinrichtung
- Interessentenmanagement Verkauf
- WEG-Verwaltung
- Maklertätigkeit
- Erhebung personenbezogener Daten beim Zutritt in die Geschäftsräume während der Corona-Pandemie
Nach Art. 30 Abs. 3 DSGVO ist das Verzeichnis schriftlich zu führen, was aber auch in einem elektronischen Format möglich ist. Weitere Vorgaben zur Form des Verzeichnisses machen DSGVO und BDSG nicht. Es empfiehlt sich – soweit möglich –, das Verzeichnis eher allgemein zu halten. Beispielsweise sollte bei der Datenerhebung beim Bundeszentralamt für Steuern zum Zwecke des Kirchensteuerabzugs bei Dividendenausschüttungen besser allgemein auf die Steuergesetze verwiesen werden als auf § 51a EStG, weil sich die Paragrafen durch Änderung der Steuergesetzgebung schnell ändern können.
Inhalt des Verzeichnisses
Der Inhalt des Verzeichnisses ergibt sich aus Art. 30 DSGVO. Danach sind für jeden Verarbeitungsprozess anzugeben:
- die Namen und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten (sofern eine Bestellung erfolgt ist),
- die Zwecke der Verarbeitung,
- eine Beschreibung der betroffenen Personengruppen und der Kategorien personenbezogener Daten,
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden,
- Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation,
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien,
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zum Schutz der Daten.
1. Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten
Anzugeben sind die Firma, die Kontaktdaten des Wohnungsunternehmens und der Datenschutzbeauftragte, sofern eine Bestellung erfolgt ist. Die Angabe einer Telefonnummer oder einer E-Mail-Adresse ist nicht erforderlich, kann aber in Bezug auf einen ggf. bestellten externen Datenschutzbeauftragten sinnvoll sein.
2. Zwecke der Verarbeitung
Der Zweck der Verarbeitung ergibt sich aus der Fachaufgabe, also z. B. aus der Verwaltung des Mietverhältnisses oder der Mitgliedschaft in der Genossenschaft.
3. Betroffene Personengruppen und Daten oder Datenkategorien
Die betroffenen Personengruppen leiten sich aus den einzelnen Verfahren ab, z. B. Beschäftigte, Mieter oder WEG-Eigentümer.
Die Daten oder Datenkategorien können sein:
- Identifikations- und Adressdaten
- Vertragsstammdaten (z. B. Mietvertrag)
- Vertragsabrechnungs- und Zahlungsdaten
- Auskunftsangaben von Dritten (z. B. Auskunftsdaten einer Auskunftei)
4. Empfänger oder Kategorien von Empfängern
Anzugeben sind die internen und externen Empfänger personenbezogener Daten. Interner Empfänger für Beschäftigtendaten ist z. B. der Betriebsrat. Externe Empfänger sind die Unternehmen oder Einrichtungen, denen die Daten mitgeteilt werden können, z. B. das Bundeszentralamt für Steuern für aufgrund eines Freistellungsauftrags oder einer NV-Bescheinigung freigestellte Kapitalerträge oder die Dienstleister (Auftragsverarbeiter) für die Heizkostenabrechnung.
5. Übermittlung von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation
In der Regel wird eine solche...